熔断逻辑应置于网络调用入口层,即拦截send_log_to_remote()等最终发http/grpc的函数,而非log_info()等前端接口;需线程安全(std::atomic+ cas)、带时间戳的超时控制、半开状态限流探针,并组合超时、队列水位、错误码比例多维触发条件。
熔断逻辑该放在日志客户端的哪一层?
熔断必须紧贴网络调用入口,不能放在格式化或队列投递之后。否则日志还在攒、还在序列化、还在进队列,主流程照样被阻塞——熔断就失效了。实际要拦截的是 send_log_to_remote() 这类最终发 HTTP 或 gRPC 的函数,而不是 log_info() 这种前端接口。
- 熔断器状态(open/half-open/closed)必须是线程安全的,推荐用
std::atomic<int></int> + CAS 操作,别用锁,否则日志打得多时反而成瓶颈
- 状态变更需带时间戳,比如 open 状态持续 60 秒后自动转 half-open,这个超时值得可配置,硬编码
60s 在压测或故障恢复时很被动
- 半开状态下只允许一个请求探路,其余请求立即失败(返回
LOG_REJECTED_BY_CIRCUIT_BREAKER),不能排队等结果
怎么判断该触发熔断?不是看错误率那么简单
错误率只是信号之一。C++ 客户端真正容易拖垮主流程的,是下游响应慢导致连接池耗尽、线程卡死、或本地缓冲区爆满。所以熔断条件得组合判断:
- 连续
5 次请求中,有 3 次超时(curl_easy_setopt(handle, CURLOPT_TIMEOUT_MS, 200) 设得太大会放大风险)
- 本地待发送日志队列长度超过
10000 条且 5 秒内没下降趋势(说明下游持续不可用,再攒也没意义)
- 近 1 分钟内,HTTP 状态码为
503 或 0(连接拒绝)的比例 ≥ 80%
- 不要依赖单次请求的
errno,比如 ECONNREFUSED 可能是瞬时抖动,得看窗口内聚合值
上报失败后,日志要不要丢?怎么丢才不丢关键信息?
不能全丢,也不能全存——磁盘写入本身可能成为新瓶颈。折中方案是分级丢弃:
- 优先保留
ERROR 和 FATAL 级别日志,INFO 和 DEBUG 在熔断开启后直接丢弃
- 用环形缓冲区(
boost::circular_buffer 或自研无锁结构)暂存最近 1000 条 ERROR 日志,满则覆盖最老的
- 熔断关闭后,先清空环形缓冲区再恢复常规上报,避免把积压日志一股脑冲垮刚恢复的服务
- 切忌在熔断期间还往本地文件里同步写日志,
fwrite() 阻塞 10ms 就够让业务线程抖一下
gRPC 和 HTTP 客户端的熔断实现差异在哪?
核心逻辑一致,但底层行为差异极大,直接影响熔断阈值设定:
- gRPC C++ 客户端默认启用连接复用和流控,
GRPC_ARG_INITIAL_RECONNECT_BACKOFF_MS 和 GRPC_ARG_MAX_RECONNECT_BACKOFF_MS 会掩盖真实失败率,建议关掉自动重试(设 grpc::ChannelArguments().SetInt(GRPC_ARG_MAX_RECONNECT_BACKOFF_MS, 0)),由熔断器统一控制
- HTTP 客户端(如 libcurl)要手动管理连接池,
CURLOPT_FORBID_REUSE 设为 1L 可避免复用坏连接,但会增加建连开销,得在熔断期间临时启用长连接复用
- gRPC 的
StatusCode::UNAVAILABLE 和 HTTP 的 503 都算熔断信号,但 gRPC 的 DEADLINE_EXCEEDED 更常见,得单独计入超时计数,不能只看 status code
std::atomic<int></int> + CAS 操作,别用锁,否则日志打得多时反而成瓶颈 60s 在压测或故障恢复时很被动 LOG_REJECTED_BY_CIRCUIT_BREAKER),不能排队等结果 - 连续
5次请求中,有3次超时(curl_easy_setopt(handle, CURLOPT_TIMEOUT_MS, 200)设得太大会放大风险) - 本地待发送日志队列长度超过
10000条且 5 秒内没下降趋势(说明下游持续不可用,再攒也没意义) - 近 1 分钟内,HTTP 状态码为
503或0(连接拒绝)的比例 ≥80% - 不要依赖单次请求的
errno,比如ECONNREFUSED可能是瞬时抖动,得看窗口内聚合值
上报失败后,日志要不要丢?怎么丢才不丢关键信息?
不能全丢,也不能全存——磁盘写入本身可能成为新瓶颈。折中方案是分级丢弃:
- 优先保留
ERROR 和 FATAL 级别日志,INFO 和 DEBUG 在熔断开启后直接丢弃
- 用环形缓冲区(
boost::circular_buffer 或自研无锁结构)暂存最近 1000 条 ERROR 日志,满则覆盖最老的
- 熔断关闭后,先清空环形缓冲区再恢复常规上报,避免把积压日志一股脑冲垮刚恢复的服务
- 切忌在熔断期间还往本地文件里同步写日志,
fwrite() 阻塞 10ms 就够让业务线程抖一下
gRPC 和 HTTP 客户端的熔断实现差异在哪?
核心逻辑一致,但底层行为差异极大,直接影响熔断阈值设定:
- gRPC C++ 客户端默认启用连接复用和流控,
GRPC_ARG_INITIAL_RECONNECT_BACKOFF_MS 和 GRPC_ARG_MAX_RECONNECT_BACKOFF_MS 会掩盖真实失败率,建议关掉自动重试(设 grpc::ChannelArguments().SetInt(GRPC_ARG_MAX_RECONNECT_BACKOFF_MS, 0)),由熔断器统一控制
- HTTP 客户端(如 libcurl)要手动管理连接池,
CURLOPT_FORBID_REUSE 设为 1L 可避免复用坏连接,但会增加建连开销,得在熔断期间临时启用长连接复用
- gRPC 的
StatusCode::UNAVAILABLE 和 HTTP 的 503 都算熔断信号,但 gRPC 的 DEADLINE_EXCEEDED 更常见,得单独计入超时计数,不能只看 status code
ERROR 和 FATAL 级别日志,INFO 和 DEBUG 在熔断开启后直接丢弃 boost::circular_buffer 或自研无锁结构)暂存最近 1000 条 ERROR 日志,满则覆盖最老的 fwrite() 阻塞 10ms 就够让业务线程抖一下 - gRPC C++ 客户端默认启用连接复用和流控,
GRPC_ARG_INITIAL_RECONNECT_BACKOFF_MS和GRPC_ARG_MAX_RECONNECT_BACKOFF_MS会掩盖真实失败率,建议关掉自动重试(设grpc::ChannelArguments().SetInt(GRPC_ARG_MAX_RECONNECT_BACKOFF_MS, 0)),由熔断器统一控制 - HTTP 客户端(如 libcurl)要手动管理连接池,
CURLOPT_FORBID_REUSE设为1L可避免复用坏连接,但会增加建连开销,得在熔断期间临时启用长连接复用 - gRPC 的
StatusCode::UNAVAILABLE和 HTTP 的503都算熔断信号,但 gRPC 的DEADLINE_EXCEEDED更常见,得单独计入超时计数,不能只看 status code
熔断器本身不复杂,难的是和日志生命周期各环节对齐:什么时候采样、什么时候拒绝、什么时候降级、什么时候恢复。最容易被忽略的是半开状态下的并发控制——没做互斥的话,多个线程同时发起探针请求,可能瞬间打爆刚恢复的下游。
